クロスサイトスクリプティングを解説するマカフィーのブログ記事にツッコミが入る 57
ストーリー by hylom
生暖かく見守りつつ指摘しましょう 部門より
生暖かく見守りつつ指摘しましょう 部門より
セキュリティベンダーMcAfee(マカフィー)の公式ブログ記事で、JavaScriptを利用しているサイトは減少傾向にあるといった記述があり話題となっている(はてなブックマーク)。
問題の記事は「情報漏えいにつながる脆弱性「クロスサイトスクリプティング」」というもの。現在では修正されているが、WebArchiveで確認すると以下のような記述があったことが確認できる。
スクリプトとはJavaScriptのことで、Webサイト上でさまざまな機能を使用できるため、多くのサイトに導入されていました。ただし、現在は脆弱性の多さから減少傾向にあります。
また、現在のバージョンでも次のような理解しにくい記述が残っている。
最近ではJavaの脆弱性が多く発見されており、深刻な影響を受けるケースもあるため、スクリプトを無効にするWebサイトも増えています。
一般人向け記事なのだろうけど (スコア:4, すばらしい洞察)
『入門者が書いた入門書』みたいなのは、なんだかなーって。
Re:一般人向け記事なのだろうけど (スコア:5, おもしろおかしい)
『一般人が書いた専門書』だと思う。入門もしていない。
Re: (スコア:0)
個人的にはIPAの記事 [ipa.go.jp]の方が一般人向けかなと思います。
Re:一般人向け記事なのだろうけど (スコア:2)
『問題のないウェブアプリケーションの場合』の図なのに、『問題のあるウェブサイト(X社)』のままで、混乱しやすい。
ページの最後に「まとめ」節や「いかがだったでしょうか」から始まる記事は要注意 (スコア:2, 参考になる)
クラウドソーシングサイトで下請けして作ったアフィ集客目的の文字数水増しした内容が薄っぺらいサイトに多い記述
やってることはMERYやWELQと同じ
「マカフィー マーケティング部」とかなってるから、たぶん1000円ぐらいで誰かに下請けさせたんだろう。
こんなので資料ダウンロードする気になるのかなぁ。
Javascriptに脆弱性だとおおおお? (スコア:2)
Re: (スコア:0)
今のトレンドならJavascriptを使用しているサイトは
不正指令電磁的記録作成・供用の疑いがあるになるのでは、
# 脆弱性があるの解っていると証明されてしまったらですけど
Re: (スコア:0)
マカフィーですらちゃんとUCCで書いてるのに……
Re: (スコア:0)
UCC? 上島珈琲か?
# 素人のレベルはこんなもん
# 実際にGoogleで検索しても上島珈琲が出てくる
Re: (スコア:0)
UCC script で検索させてみた
https://github.com/kw-udon/ucc [github.com]
https://ejje.weblio.jp/content/%EF%BC%B5%EF%BC%A3%EF%BC%A3 [weblio.jp]
例文
However, UCC canned coffee is categorized as a milk beverage due to its high ratio of milk solids.
ただし、UCCの缶コーヒーは、乳固形分の比率が高く乳飲料に該当する。
Re: (スコア:0)
日本じゃユーザークリエイテッドコンテンツって言葉は普及してないからなぁ、UCCと言ったら缶コーヒーでしょ。
Java != JavaScript (スコア:1)
>最近ではJavaの脆弱性が多く発見されており、深刻な影響を受けるケースもあるため、スクリプトを無効にするWebサイトも増えています。
JavaとJavaScriptの区別もついていないレベルかよ。
Re:Java != JavaScript (スコア:1)
どんなゲーム機でもファミコンという感じかな
Re: (スコア:0)
Java Applet なら、確かに減少傾向だな。つうか絶滅危惧種。
Re: (スコア:0)
Flash(ECMA Script)の話も混ざってるかもしれない。
「無効にするWebサイトも増えています」って記述はブラウザ側がデフォルトでブロックする挙動の事を言ってそうな気がする。
Javaのが先にブロックされるようになったけど、今でも見かけるのはFlashのブロックだし、ここまで知識が危ういとね…
Re: (スコア:0)
Flashはデフォルトブロックながらまだ生きてるとして、一世を風靡したが絶滅危惧種なやつって言うとShockwaveとか言うのも有ったな。
まだ生きてんのかな…と思ったら 生きてるらしい「最新版 12.3.2.202 / 2018年3月16日(2か月前)(米国時間)」 [wikipedia.org]
Macは去年サポート終了だし流石に畳みには掛かってるか。
ていうか日本語公式 [adobe.com]が酷い。ロゴ画像がリンク切れかよ。
「現在、3億人以上のWebユーザが、Adobe Shockwave Player をインストールしています。
Re: (スコア:0)
無効にするWebサイトっていうのもね
無効にするのはサイトじゃなくてユーザーだろうに
Re: (スコア:0)
Javaがいつからスクリプト言語になった?
Re: (スコア:0)
Re:Java != JavaScript (スコア:1)
javac でコンパイルできて、jvm で動くからといって、
そのスクリプトが「javaか」と言われると悩むところだ。
私の感覚では、「java」は言語仕様とAPIを指すので、
javax.script で .class ファイルにしてJVMで実行するコードは、
javaじゃなくて、それぞれのもとの言語だなあ。
10年ぐらい前かな? (スコア:0)
AJAX流行る前は、真に受けてJavaScriptをオフにしてる奴おったやろ
Re: (スコア:0)
真に受けるも何も今でもデフォルトOFFですよ
俺のPC上で俺に同意なく計算資源使うボケって思ってるんで。
GoogleMapみたいなサービス利用に必要ならおkですが画面デザインだなんだに使うなボケ
Re: (スコア:0)
頑張ってこまめに設定したり、お前の人件費安いな。
Re: (スコア:0)
はぁ、自衛するとそうなんですか。
そう思うならそれでいいんじゃないですかね
Re: (スコア:0)
ほとんどのWebサービス使えないじゃん
スマホとかはどうしてるの?
Re: (スコア:0)
さぞや高尚な計算処理をなされていることかと存じますが、
後学のためにどのような処理をされているのか教えていただけますでしょうか。
Re: (スコア:0)
スマホ持ってる?
持ってたら、スマホからサイト見る時どうしてる?オフにできる?
Re: (スコア:0)
だいたいIE6が悪い
Re: (スコア:0)
その時にはadblockに「.js$」を指定しとくと爆速だったから(今もログインしないならそうかも)、オフにしてた。今は半々ぐらい。
Re: (スコア:0)
社内WEB(IE6)はフル活用(^^;)
どちらかと言うとActiveXコンポーネントだけど
Re: (スコア:0)
どこもJavaScript前提になったから利便性のために諦めてるだけで、できることならオフにしたいよ
コード書くのも楽しくないからJavaScriptは好きじゃない
Re: (スコア:0)
自分はセキュリティのためにもオフにしてる。
必要なサイトだけオンにしてる。
これがデフォルトでできるのはChromeだけなんだよなー。
Firefoxはアドオンでできるけど。他のブラウザは無理ぽ。
Re: (スコア:0)
いつの間に……
昔はJavaScriptだけじゃなくてCSSやフレームも無効にできたんだがなあ
どんどん設定できる項目が少なくなっている
IE11ではふつうに設定からスクリプトを無効にできるけど、
Firefoxでは、設定画面として見せていないので、about:config を開いて javascript.enabled をfalseにしなければならない
Edgeはできない?
Re: (スコア:0)
いや、ホストごとにオン・オフ(ホワイトリスト化)のことね。
全体でのオン・オフなら他のブラウザにもある。でも、さすがに使いにくいから、一部許可できないと使えない。
確かEdgeはそもそもオン・オフなかった気がする。
Re: (スコア:0)
JavaScriptが楽しくないのは今の開発を知らないからだと思うよ。
今時はだいたい楽しくなさを感じる前に実装が終わっちゃう。
Re: (スコア:0)
JavaScriptで貫通してくるセキュリティホールもなかったっけ?
JavaやFlashの方が圧倒的に貫通しまくってたけど。
Re: (スコア:0)
セキュリティホールが貫通???
Re: (スコア:0)
セキュリティホールは元々空いていますもんね
Re: (スコア:0)
この記事を真に受けた場合、Javascriptをオフにするのはブラウザ側じゃなくてWebサイト側ですね
Re: (スコア:0)
スクリプトを無効にするWebサイトってなんだ?
script要素を全部削除してもそれは無効って言うのか?
webブラウザ側の挙動をサイト側が制御してるのか?
script-src 'none';って書いてんのか?
結局この記述も意味わかんねえな
Re: (スコア:0)
切れる相手間違えてますよw
#3424963はネタ元に書いてあるのを皮肉ってるだけですから。
サーバー側でそんなことできないのは周知の事実。
Re: (スコア:0)
過去のブログを少し確認したのだが、10年くらい前はもっぱらw3m使ってたらしい。
その頃くらいまでは大抵のサイトはJavaScriptやCSSを解しなくても問題なかったんだ。
w3mはキーバイドと相まって動作が軽快だったし、レンダリングも綺麗だったし、画像も表示できたし、ターミナルやエディタと連動して快適に使用できていたんだ。
w3m-0.5.3 released!
https://opensource.srad.jp/story/11/01/17/0328225/ [opensource.srad.jp]
Re: (スコア:0)
レイシストが出たぞー!!
石を投げろー
Re: (スコア:0)
しかも当て字系だぞ!
日本のセキュリティ企業はパヨクの浸透を受けていて (スコア:0)
たぶんお茶か何かにクルクルパーになる薬を盛られてる
Re: (スコア:0)
煙草にも赤い結晶が
Re: (スコア:0)
現象傾向なの?
Re: (スコア:0)
間違いだらけだけど、そもそも正しく書いてあってもこのクソページが狙ってる層は理解できないから問題ない
が正しいんじゃなかろうか
Re: (スコア:0)
そそ、不安をあおってセキュリティ製品を売るという意図が見え見えな記事。
Re: (スコア:0)
JavaScriptは減っていないし、JavaScriptとJavaは名前が似ているけれど完全に別物。
詳細かどうかじゃなく、完全に間違ってるでしょ。